网络安全通报第三期
发布时间: 2019-04-24 浏览次数: 475 文章来源: 信息化建设与管理办公室

本周网络状态:良好

本周信息安全威胁通告

2019年第3

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞180 个,其中高危漏洞71 个、中危漏洞78 个、低危漏洞31 个。漏洞平均分值为5.99。本周收录的漏洞中,涉及0day 漏洞84 个(占47%),其中互联网上出现“BigTreeCMS 'parent' SQL 注入漏洞、WordPress 插件WordPress-Feed-Statistics 开放重定向漏洞”等零日代码攻击漏洞。本周CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数1599 与上周(1960 个)环比下降18%

  


简讯

96%的新加坡企业称2018年遭遇过网络攻击。2018 年,约96%的新加坡企业遭遇过网络攻击,其中勒索软件是最常用的攻击模式。

28%的受访者表示勒索软件是最常用的攻击模式,25%的受访者表示恶意软件是最常遇到的攻击类型,而11%的受访者表示是云数据入侵,特别是Google Drive

调查公司Opinion Matters 调查了250名来自新加坡金融、医疗、政府和零售等行业的首席信息、技术和网络安全官,92%的受访者指出攻击数量有所增加;约95%的受访者称网络攻击比以前更加复杂,其中14%的人强调网络钓鱼攻击是成功入侵的主要原因,另有12%的人认为程序缺陷是导致数据泄露的主要原因。

在制造业和工程业的公司中,近三分之二的公司在过去12个月里遭遇过三到五次黑客入侵,23%的公司将第三方应用程序和勒索软件列为黑客成功入侵的主要原因。

月,新加坡对技术风险和业务连续性管理指导方针进行了修改,要求金融机构实施更多措施,增强其运营弹性。行业监管机构新加坡金融管理局表示,这些举措旨在让相关机构更好地应对正在迅速变化的网络安全威胁。

3个月曝光多起中国企业简历信息泄露:涉5.9亿份简历。研究人员发现,中国企业今年前3个月出现数起简历信息泄漏事故,涉及5.9亿份简历。

据美国科技媒体ZDNet报道,有研究人员发现,中国企业今年前3个月出现数起简历信息泄漏事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDBElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。

在过去几个月,尤其是过去几周,ZDNet 收到一些服务器泄露信息的相关消息,这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩(Sanyam Jain)。单是在过去一个月,简恩就发现并汇报了7宗泄露事件,其中已经有4起泄露事故得到修复。

比如,310日,简恩发现有一台ElasticSearch不安全,里面存放3300万中国用户的简历。他将问题报告给中国国家计算机应急响应小组(CNCERT)4题。313日,简恩又发现一台ElasticSearch不安全,里面存放8480万份简历,在CNCERT的帮助下,问题也得到解决。315日,简恩又找到一台问题ElasticSearch服务器,里面存放9300万份简历。简恩说:“数据库意外离线,我向CNCERT汇报,还没有收到回应。”

第四台服务器存放来自中国企业的简历数据,里面有900万份简历,服务器同样来自ElasticSearch。还有第五个泄露点,这是一个ElasticSearch服务器集群,里面存放的简历超过1.29亿份。简恩无法确认所有者,目前数据库仍然门户大开。简恩还发现另外两个泄露点,只是规模较小。一台ElasticSearch服务器存放18万份简历,一台存放17000份简历。

简单统计,中国企业在过去3个月泄露的简历达以5.90497亿。

  

  

网络安全漏洞

2.1高危漏洞预警


2.2 关于Atlassian Confluence Widget Connector存在目录穿越、远程代码执行漏洞的安全公告

2019410日,国家信息安全漏洞共享平台(CNVD)收录了Atlassian Confluence Widget Connector目录穿越、远程代码执行漏洞(CNVD-2019-08177CNVD-2019-08178)。攻击者利用该漏洞,可在未授权的情况下实现目录穿越及远程执行代码。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞。

一、漏洞情况分析

Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki

Confluence的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence应用于多方面技术研究领域,包括IBMSun MicroSystemsSAP 等众多知名企业使用Confluence来构建企业Wiki并面向公众开放。Confluence Widget ConnectorConfluence的窗口小部件,使用Widget Connector能将在线视频、幻灯片、图片等直接嵌入网页页面中。

2019320日,Confluence官方发布了版本更新信息,修复了目录穿越、远程代码执行漏洞。该漏洞产生于服务器端模板的注入漏洞,主要存在于Confluence ServerData Center的插件Widget Connector当中,存在漏洞的版本允许攻击者通过在插入文档与视频相关的内容时(/rest/tinymce/1/macro/preview)直接通过HTTP请求参数添加_template字段即可回显相关目录与文件信息,同时也可通过file:///等协议执行系统命令。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

Atlassian Confluence Server 6.6.12 及以下版本;

Atlassian Confluence Server 6.7.0-6.12.2 版本;

Atlassian Confluence Server 6.13.3 之前的所有6.13.x 版本;

Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。

CNVD秘书处对Confluence的全球占有率进行了调查,结果显示全球Confluence系统数量约为61888,其中,8177个系统位于我国境内。

在党政机关、重要行业的信息系统中,使用Confluence建立信息共享wiki站点的比例很小,故影响较低。

三、漏洞处置建议

目前,Confluence 官方已发布新版本修复此漏洞,CNVD建议用户立即升级至最新版本:

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence  

  


本周全国焦点事件

3.1 济南地铁国内首家实现刷脸支付乘车,人脸信息该如何保护?

41日,济南市首条地铁线路1号线正式开启商业运营,而据了解随着地铁上线的还有人脸识别乘车系统,这也让济南地铁成为国内首条采用3D人脸识别闸机的地铁线路。

济南地铁1号线是济南首条地铁线路,从昨日运营开始支持包括普通单程票、济南公交卡、泉城通、扫码乘车、刷脸乘车在内的多种购票乘车方式,而其中刷脸乘车的正式商用在国内地铁领域尚属首次。

据移动支付网了解,济南地铁的刷脸乘车需要在其官方APP“济南地铁”上开通,但值得注意的是整个人脸录入的过程非常快速,并且不需要进行相关的身份认证,也不需要进行第三方支付的免密扣款授权,即“人脸识别”的开通是完全脱离支付环节的。而实际上,进行人脸支付时是需要其账户内有余额,或者开通相关的免密扣款。通过体验者的反馈来看,体验的流畅度并不是很统一,但整体而言识别率还算不错,认证过程也能够接受,能够满足基本的通行速度。

根据已知信息,济南地铁的人脸识别同样是采用“1N”的比对认证形式,通过事先录入人脸信息存在云端系统服务器,乘客过闸时再通过自身人脸进行实时比对验证。目前由于只支持济南地铁1号线的部分闸机,通行量有限,不知道当比对数据过多时会不会影响比对时间。另外也不清楚有没有相应的脱机方案,当网络不好时会不会影响相应的通行效率。


随着移动支付的迅速普及,刷脸支付已经开始逐渐向零售行业甚至交通领域延伸。据移动支付网了解,目前包括深圳地铁、广州羊城通、北京地铁、上海申通地铁在内的多家地铁公交公司都在试点人脸识别支付过闸。今年1月,金华公交率先在国内公交领域正式应用刷脸支付乘车。

人脸识别的个人信息安全问题

人脸识别的火热也让其安全性成为关注的焦点。

据移动支付网了解,此次济南地铁的3D人脸识别闸机内置奥比中光提供的3D摄像头,可以获取完整的三维人脸数据,同时具备活体检测能力,能轻松辨识出照片、视频与面具等伪装攻击行为,误识率仅为百万分之一。

但这仅仅是官方的说法,也仅仅是3D 结构光摄像头在普通环境下的识别率。交通领域的实际情况中如何在识别速度和识别率之间作出平衡,如何达到活体检测识别的效率,都是需要去克服的问题。

众所周知,人脸信息属于弱隐私信息,但是又具有唯一性。这也是为何尽管目前人脸识别技术已经达到了相应的商用标准,但很多人仍然对于人脸支付怀有忌惮的原因,因为国内对于人脸信息的合法使用和保护仍然处于法律法规相对空白的局面。

2017 年,苹果推出Face ID,正式将人脸识别支付带入到手机中,但是苹果的人脸信息只会存储在本地的安全芯片中,不会上传到服务器,因此个人的人脸信息相对安全,相对而言不会有服务器人脸信息泄漏的风险。这就要求个人对于自身安全信息的保护,毕竟这和自己保护自己的财产安全一样。

但是目前人脸识别被广泛应用在零售等公共领域,这也导致人脸信息无法存储在本地,那么存储在云端服务器的数据应该由谁保管?如何保管?泄漏之后又是谁的责任?这些必然成为用户关心的问题。

但是按照目前人脸识别的应用来看,大部分企业仍然是将责任划分给了消费者,类似于济南地铁这样,那么如果以后每个企业都研发一套属于自己的人脸识别系统,每个人的人脸信息被分散地存储在各个企业的云服务器中,一旦一个信息泄漏是不是意味着所有的支付账户都会有风险呢?毕竟密码是可以修改的,而人脸信息没有办法重新更换!

随着新技术的发展,创新的能力可以为消费者带来更多的便利,但是在支付领域安全和便利永远是值得深思的问题。人脸识别目前仍然处于探索期,如何制定健全完善的行业法规,如何有效地形成产品落地,需要相关企业和部门的共同努力。


3.2北京警方打掉特大APP刷量团伙,起获涉案手机近两千部

依托公安部“净网2019”专项行动,海淀警方加大对涉网犯罪案件的打击力度,尤其对网络黑产的根源打击。日前,经过海淀警方近9个月的缜密侦查,在广东警方的大力配合下,一举打掉一个利用计算机软件控制大量手机虚拟下载安装APP产品骗取推广费的网络犯罪团伙,共抓获涉案人员15人,起获涉案手机近两千部、服务器四台、笔记本两台、主机两台。

警方介入手机APP推广现可疑

20187月,海淀警方接到辖区一网络公司报案,称该公司开发的一款APP产品,在与推广公司签署推广协议并交纳巨额推广费用后,发现APP产品下载安装量与实际使用情况存在巨大差距,怀疑推广公司存在诈骗推广费的行为。接到报案后,海淀分局警务支援大队、刑侦支队等职能部门和派出所组成专案组,共同对案件开展工作。

专案侦查特大网络黑产浮出水面

专案组兵分两路对案件开展侦查。

第一组通过对报案公司进行走访了解到该公司所开发的一款APP产品,在与推广公司签署推广协议并支付费用的情况下,发现该款手APP产品在下载和安装量上和后台监测到的实际运行量相比却存在巨大落差,也就是说APP只有下载安装量,但没有实际使用,由此可以判断推广公司很可能存在“猫腻”!

第二组通过对推广公司进行调查了解到,推广公司接到项目后又找到了一些渠道推广商,将该款APP产品进行推广,而这些渠道推广商再找到一些小公司,然后通过虚构该公司APP产品的下载安装量,从而达到诈骗推广费用的目的。从数据流量来看,可疑数据集中在广东地区,于是专案组立即将侦查中心转移至广东。

201812月至20193月,专案组三次南下广东进行前期摸排,在掌握相关证据后,2019319日,专案组再次兵分三路分赴汕头、广州和深圳对多家涉案公司开展工作。

在广东汕头,专案组通过与汕头警方紧密配合,很快将掌握的可疑数据来源锁定在汕头市龙湖区某信息科技网络公司。与此同时,负责广州、深圳的专案组民警也通过与当地警方的紧密配合,迅速摸清了当地涉案公司的情况及人员架构。

321日,专案组见抓捕时机已成熟,开始统一抓捕行动,打响“第一枪”的是汕头专案组。在涉案公司内,民警首先控制了公司内6名嫌疑人,并在涉案公司内发现多个装满手机的“手机墙”。只见每个手机墙由近百部正在运行的手机组成。民警通过对手机进行检验,发现每部手机都在通过自动程序反复重复着从手机APP市场点击、下载并安装运行软件的动作。在这些手机不断点击下载的程序中,报案公司开发的APP产品果然也在其中。专案组当场起获了涉案手机近两千部、服务器四台、笔记本两台、主机两台。

就在汕头首战告捷的同时,广州和深圳也分别抓获4名和5名犯罪嫌疑人。

经审讯,嫌疑人对利用计算机软件控制大量手机虚拟下载安装APP产品骗取报案公司推广费用的犯罪事实供认不讳。目前,15名犯罪嫌疑人因涉嫌诈骗罪均已被海淀警方押解回京并依法刑事拘留,此案还在进一步审理中。


3.3 Facebook 群组“变身”网络犯罪跳蚤市场,有人公开兜售相关业务

据外媒CNET报道,过去我们经常听到网络犯罪分子使用隐藏服务器或暗网来买卖他的商品的消息。而思科Talos团队周五发布的一份报告显示,这些惯犯正在通过Facebook群组公开展示他们的业务。

思科Talos团队发现了74Facebook 群组正在被用于买卖被盗的信用卡信息和网络犯罪工具。根据Talos团队的说法,这些群组共有385,000名成员。

Talos团队称通过搜索spam carding CVV 很容易找到这些群组。如果用户加入一个或多个群组,Facebook的算法会建议更多类似的群组。

Facebook表示已经审查了Talos团队提交的群组,其中大多数群组在2018年被标记。该公司已经删除了一些违反其政策的群组。


“这些群组违反了我们针对垃圾邮件和金融欺诈的政策,我们删除了它们,”Facebook 发言人在一封电子邮件中说。“我们知道我们需要更加警惕,我们正在大力投资以对抗这类活动。”

这家社交网络表示,其已经撤销了运行恶意群组的帐户的权限,因此他们无法制作新的帐户。该公司正在继续调查并删除违反政策的群组、网页和帐户。


然而,Talos 团队表示,尽管Facebook 迅速删除了大多数恶意群组,但“新群组仍在继续涌现”,截至周五有些群组仍然活跃。


3.4 10个恶意软件家族被托管在美国服务器上进行传播

据外媒报道,研究人员发现10个不同的恶意软件家族托管在美国注册的十多台服务器上,它们通过疑似Necurs的僵尸网络进行传播。网络安全公司Bromium的研究人员表示,他们在20185月至20193月期间一直监测与该基础设施相关的活动。

10个恶意软件包括5个银行木马家族(DridexGootkitIcedIDNymaimTrickbot)、2个勒索软件变种(GandcrabHermes),以及3个信息窃取器(FareitNeutrinoAzorult)。其中有11台服务器属于一家位于美国内华达州的公司,该公司提供VPS托管服务。


在美国的基础设施上发现这些恶意软件是不寻常的,因为美国执法机构通常会在发现恶意基础设施存在时迅速查封它们。

网络安全研究人员表示,服务器上的恶意软件家族已经在多个大规模网络钓鱼活动中传播。电子邮件和托管已与命令与控制系统分离,这表明这些服务器被不同的组织使用,其中一些负责电子邮件和托管,而另一些负责管理恶意软件。

在追踪了与恶意基础设施相关的垃圾邮件和钓鱼活动后,Bromium表示,在所有检测到的攻击中,电子邮件是主要的攻击载体,包含恶意VBAMicrosoft Word文件是首选的武器化文档。最受欢迎的钓鱼诱饵是求职申请,其次是支付请求。网络钓鱼活动以美国为主要目标,诱饵邮件通常假冒成著名的美国机构。

此外,恶意软件样本的快速编译以及托管速度表明,恶意软件开发商和分销基础设施运营商之间存在着某些联系。比如Hermes Dridex的编译和托管只需几个小时,最长不超过24小时。

研究人员表示,此次活动中的用户名和密码是“username”和“password”,提交文件的名为“test1.exe”,所以很可能只是一次试验。而且Dridex活动停滞了几个月,这可能预示着更大规模的Dridex活动即将到来。


3.5 PoS系统感染木马,好莱坞知名餐厅顾客支付卡信息泄露

Earl Enterprises2019329日承认,网络犯罪分子在10个月内从其拥有的数十家餐馆中窃取了支付卡数据。

调查显示,此事件影响了Buca di Beppo、三明治伯爵、好莱坞星球、Chicken Guy!、MixologyTequila Taqueria餐厅这些品牌全部归Earl Enterprises所有。遍布美国的所有Buca di Beppo地点似乎都受到卡信息泄露的影响,以及属于其他品牌的几个地点。


根据Earl Enterprises的说法,黑客们制作了一种恶意软件,用于抓取销售点(PoS)系统上的信用卡和借记卡信息。此攻击中涉及的恶意软件捕获了卡号,到期日期以及某些情况下的持卡人姓名。

2018523日至2019318日期间在受影响地点使用支付卡的消费者可能会受到影响。客户可以使用Earl Enterprises提供的在线工具查看他们访问过的餐馆是否受到影响。该公司表示,BertuccisSeaside on the PierCafé好莱坞品牌并未受到影响,也不是好莱坞星球酒店或商店。它还声称该事件并未影响美国以外的地点或在线订单。

该公司在其网站上发布的一份声明称,该事件影响了“数量有限的客人”。然而,安全博客Brian Krebs报告说,在220日,一个名为Jokers Stash的黑暗网络市场,专门销售信用卡数据,已经出售了大约215万张被盗卡片,这些卡片似乎来自Earl Enterprises所拥有的餐馆。

Krebs在确定数据可能来自其系统之后不久就通知了该公司。Krebs的通知似乎引发了Earl Enterprises的调查,涉及两家网络安全公司。联邦执法部门也已意识到数据泄露。

在过去一年中披露了支付卡数据泄露的主要连锁餐厅连锁店名单还包括Huddle HouseChilisApplebeesCheddars Scratch Kitchen


仙林校区地址:南京市亚东新城区文苑路9号 邮编:210023 三牌楼校区地址:南京市新模范马路66号 邮编:210003 锁金村校区地址:南京市龙蟠路177号 邮编:210042 苏ICP备11073489号-1